%---------------------------------------
%    商用密码应用安全性评估（简称“密评”）简介
%---------------------------------------

\chapter{商用密码应用安全性评估简介}

2021年3月，国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告（2021年第3号），国家密码应用与安全性评估的关键标准GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》(以下简称GB/T 39786)正式发布，于2021年10月1日正式实施。\par

GB/T 39786是贯彻落实《中华人民共和国密码法》、指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准。
\par

商用密码应用安全性评估（简称“密评”）指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性等进行评估。
\par
密评工作的责任主体是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位。密评对象包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。
\par
密评主要依据被测信息系统通过评审的密码应用方案和GB/T 39786(这个标准的前身是GM/T 0054-2018《信息系统密码应用基本要求》)，从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理等方面开展评估。

\section{密码法中的评估要求}

《中华人民共和国密码法》(以下简称“密码法”)\footnote{密码法全文\url{http://www.oscca.gov.cn/sca/xxgk/2019-10/27/content_1057225.shtml}}由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过，现予公布，自2020年1月1日起施行。
\par
密码法明确国家对密码实行分类管理，密码分为三类：核心密码、普通密码和商用密码。
\par
核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
\par
商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
\par

在密码法中对核心密码、普通密码评估要求有：\par

第十七条　密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。\par

对商业密码的评估要求有：\par

第二十七条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施\footnote{在很多资料中，“关键信息基础设施”简称"关基"}，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。\par

第三十七条　关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。\par

\section{等保、密评与关基}
从等保、密评和关基适用对象来说，三者适用对象不同，等级保护对象基本覆盖了全部的网络和信息系统，第三级以上的网络安全等级保护对象同时为关基和密评的评估对象；关键基础设施一定是等级测评和密评的评估的对象。三者之间的关系如图\ref{fig:DB-MP-GJ}所示。

\begin{figure}[htbp]
	\centering
	\includegraphics[width=0.7\textwidth]{DB-MP-GJ.png}
	\caption{等保、密评、关基三者适用对象范围示意图}
	\label{fig:DB-MP-GJ}
\end{figure}

\section{密评的基本内容}
GB/T 39786是贯彻落实《中华人民共和国密码法》、指导我国商用密码应用与安全性评估(简称密评)工作开展的纲领性、框架性标准。\par
该标准对被测系统分为五个级别，但是只对1~4级的基本要求进行了规定，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用技术要求，从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用管理要求。每一级的目录结构如图\ref{fig:MP-directory}所示。\par

\begin{figure}[htbp]
	\centering
	\includegraphics[width=0.7\textwidth]{MP-directory.png}
	\caption{密评每一等级要求目录结构}
	\label{fig:MP-directory}
\end{figure}

GB/T 39786内容框架如图\ref{fig:MP-arch}所示。
\par
\begin{figure}[htbp]
	\centering
	\includegraphics[width=0.7\textwidth]{MP-arch.png}
	\caption{GB/T 39786内容框架图}
	\label{fig:MP-arch}
\end{figure}

\section{密评的应用支撑标准}
2018年国家秘密管理局发布"GM/T 0054 信息系统密码应用基本要求"，密码行业标准化委员会陆续制订发布了一批针对具体应用场景的密码应用技术要求和指南。这些标准聚焦电子保单、远程移动支付、电子招投标等不同的应用场景，就GM/T 0054的要求在特定信息系统中进行了进一步的具象化，供各行业领域信息系统责任单位参考。随着GB/T 39786的发布，这些标准在将来可能要做少许适应性修订，以适应0054替代标准GB/T 39876的要求。\par

可以在密码行业标准化技术委员会的网站上分别以“应用技术要求”(如表\ref{table:crypt-app-tech}所示)和“应用指南”(如表\ref{table:crypt-app-guide}所示)两个关键字查询现有标准。\par
\begin{table}[htbp]
	\centering 
	\caption{ 密码行业标准化技术委员会“应用技术要求”标准列表(2021年12月28日查询) } 
	\label{table:crypt-app-tech}
	\resizebox{\textwidth}{!}{
	\begin{tabular}{|c|c|c|c|c|}
		\hline 
		GM/T 0035.2-2014 & 射频识别系统密码应用技术要求 第2部分：电子标签芯片密码应用技术要求 & Specifications of cryptographic  application for RFID systems-Part 2:Specification of cryptographic  application for RFID tag chip & 20140213 & 20140213  \\ 
		\hline 
		GM/T 0035.3-2014 & 射频识别系统密码应用技术要求 第３部分：读写器密码应用技术要求 & Specifications of cryptographic  application for RFID systems-Part 3:Specification of cryptographic  application for RFID reader & 20140213 & 20140213  \\ 
		\hline 
		GM/T 0035.4-2014 & 射频识别系统密码应用技术要求 第４部分：电子标签与读写器通信密码应用技术要求 & Specifications of cryptographic  application for RFID systems-Part 4:Specification of cryptographic  application for communication between RFID reader & 20140213 & 20140213  \\ 
		\hline
		GM/T 0035.5-2014 & 射频识别系统密码应用技术要求 第５部分：密钥管理技术要求      & Specifications of cryptographic  application for RFID systems-Part 5:Specification for key management & 20140213 & 20140213  \\ 
		\hline 
		GM/T 0070-2019   & 电子保单密码应用技术要求                                     & Techincal requirement for applications  of cryptography in electronic insurance policy & 20190712 & 20190712  \\ 
		\hline 
		GM/T 0072-2019   & 远程移动支付密码应用技术要求                                 & Techincal requirements for the  applying of cryptography in remote mobile payment & 20190712 & 20190712  \\ 
		\hline 
		GM/T 0073-2019   & 手机银行信息系统密码应用技术要求                             & Cryptography technical requirements  for mobile banking information systems & 20190712 & 20190712  \\ 
		\hline 
		GM/T 0074-2019   & 网上银行密码应用技术要求                                     & Technical requirements on  cryptographic application for internet banking & 20190712 & 20190712  \\ 
		\hline 
		GM/T 0075-2019   & 银行信贷信息系统密码应用技术要求                             & Cryptography technical requirements  for credit banking information systems & 20190712 & 20190712  \\ 
		\hline 
		GM/T 0076-2019   & 银行卡信息系统密码应用技术要求                               & Cryptography technical requirements  for banking card information systems & 20190712 & 20190712  \\ 
		\hline 
		GM/T 0077-2019   & 银行核心信息系统密码应用技术要求                             & Cryptography technical requirements  for core banking systems & 20190712 & 20190712   \\ 
		\hline 
		GM/T 0095-2020   & 电子招投标密码应用技术要求                                   & Technical requirements for  applications of cryptography in electronic bidding & 20201228 & 20210701  \\ 
		\hline 
		GM/T 0100-2020   & 人工确权型数字签名密码应用技术要求                           & Cryptographic application technical  requirements for manually confirmed signing & 20201228 & 20210701  \\ 
		\hline 	
	\end{tabular}
	}
\end{table}
\par
\begin{table}[htbp]
	\centering 
	\caption{ 密码行业标准化技术委员会“应用指南”标准列表(2021年12月28日查询) } 
	\label{table:crypt-app-guide}
	\resizebox{\textwidth}{!}{
	\begin{tabular}{|c|c|c|c|c|}
		\hline 
		行标号&标准名称  &英文名称  &发布  &实施  \\ 
		\hline 
		GM/T 0071-2019&电子文件密码应用指南  & Guidance of cryptographic application for electronic records & 20190712 &20190712  \\ 
		\hline 
		GM/T 0096-2020& 射频识别防伪系统密码应用指南 & Guide for RFID anti-counterfeiting cipher application & 20201228 & 20210701 \\ 
		\hline 
	\end{tabular} 
	}
\end{table}				
			
			
\section{密评的配套测评文件}	
为了配合GB/T 39786的实施，更好地指导和规范密评活动，中国密码学会密评联委会组织制定了《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板（2020版）》五个测评类指导性文件，并于2020年12月在国家密码管理局官方网站和中国密码学会网站上发布\footnote{下载链接\url{https://www.cacrnet.org.cn/site/content/897.html}}，标准化工作也在有序推进。这五个文件是基本与GB/T 39786同步制订的，都是依据GB/T 39786的最新指标要求展开，内部关系如图\ref{fig:MP-guide-series}所示。\par

\begin{figure}[htbp]
	\centering
	\includegraphics[width=0.7\textwidth]{MP-guide-series.png}
	\caption{密评系列指导文件之间的关系\footnote{此图参考了“深度解读 密评新国标GB/T 39786-2021”，链接\url{https://www.sohu.com/a/466209964_100261901}，此章中的一些文字也来源于此文章。}}
	\label{fig:MP-guide-series}
\end{figure}


《信息系统密码应用测评要求》依照GB/T 39786，规定了信息系统不同等级密码应用的测评要求；\par
《信息系统密码应用测评过程指南》指导了信息系统密码应用的测评过程，包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动，规范了各项测评活动及其工作任务；\par
《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》是《信息系统密码应用测评要求》的有力补充，充分体现了密评的“综合判定、保住底线”的思路。\par
《商用密码应用安全性评估报告模板（2020版）》从结果规范角度给出了密评报告的模板，涵盖了《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》的相关内容。\par
